https://docs.mitigator.ru/v26.04/tags/network-integration/ Recent content in Network Integration on BIFIT Mitigator Hugo -- gohugo.io ru https://docs.mitigator.ru/v26.04/kb/deploy/ Mon, 01 Jan 0001 00:00:00 +0000 https://docs.mitigator.ru/v26.04/kb/deploy/ В MITIGATOR реализована поддержка множества сценариев встраивания в сеть заказчика. Ниже описаны основные термины и способы внедрения в сеть, а также примеры внедрения. Внешняя и внутренняя сети Логически MITIGATOR подключается к двум сетям: Внешняя сеть (external) – сеть, из которой приходит трафик, требующий очистки; Внутренняя сеть (internal) – сеть, в которой расположены защищаемые ресурсы. Трафик из внешней сети – трафик, поступающий в MITIGATOR из внешней сети. Состоит из трафика атаки и легитимного трафика. https://docs.mitigator.ru/v26.04/install/multi/workers/ Mon, 01 Jan 0001 00:00:00 +0000 https://docs.mitigator.ru/v26.04/install/multi/workers/ Дальнейшие шаги предполагают, что экземпляр MITIGATOR уже установлен. В противном случае предварительно выполните установку одним из следующих способов. Перед настройкой кластера необходимо настроить виртуальную сеть (VPN). Для ее работы нужна сетевая связность между экземплярами. Подробные сведения по настройке и необходимым доступам описаны по ссылке. Общие базы данных для всех экземпляров MITIGATOR физически хранятся на сервере одного из них. К базовому экземпляру должны быть разрешены подключения с остальных экземпляров по следующим портам TCP: 8888, 2003, 3080, 5432. https://docs.mitigator.ru/v26.04/install/multi/failover/ Mon, 01 Jan 0001 00:00:00 +0000 https://docs.mitigator.ru/v26.04/install/multi/failover/ Дальнейшие шаги предполагают, что экземпляр MITIGATOR уже установлен. В противном случае предварительно выполните установку одним из следующих способов. Перед настройкой кластера необходимо настроить виртуальную сеть (VPN). Для ее работы нужна сетевая связность между экземплярами. Подробные сведения по настройке и необходимым доступам описаны по ссылке. В целях отказоустойчивости синхронизированные копии БД должны физически храниться на разных серверах (реплицироваться). При данной схеме реплики БД хранятся на тех же серверах, где работают экземпляры MITIGATOR. https://docs.mitigator.ru/v26.04/install/multi/ Mon, 01 Jan 0001 00:00:00 +0000 https://docs.mitigator.ru/v26.04/install/multi/ В режиме кластера несколько экземпляров системы MITIGATOR пользуются едиными базами данных и управляются централизованно. За счет добавления дополнительных экземпляров система допускает неограниченное масштабирование. Режим кластера позволяет обрабатывать трафик независимо на каждом экземпляре, но управлять ими из единого интерфейса. При плановом или аварийном отключении любого экземпляра сохраняется возможность управления остальными. Развертывание Между экземплярами настраивается виртуальная сеть (VPN). Для ее работы нужна сетевая связность между экземплярами. Подробные сведения по настройке и необходимым доступам описаны по ссылке. https://docs.mitigator.ru/v26.04/install/multi/custom/ Mon, 01 Jan 0001 00:00:00 +0000 https://docs.mitigator.ru/v26.04/install/multi/custom/ Дальнейшие шаги предполагают, что экземпляр MITIGATOR уже установлен. В противном случае предварительно выполните установку одним из следующих способов. Перед настройкой кластера необходимо настроить виртуальную сеть (VPN). Для ее работы нужна сетевая связность между экземплярами. Подробные сведения по настройке и необходимым доступам описаны по ссылке. Данная схема внедрения подразумевает физическое хранение общих для всех экземпляров MITIGATOR баз данных на внешнем сервере. Работоспособность и отказоустойчивость всех СУБД обеспечивается силами администратора внешнего сервера под конкретные требования. https://docs.mitigator.ru/v26.04/install/multi/hybrid/ Mon, 01 Jan 0001 00:00:00 +0000 https://docs.mitigator.ru/v26.04/install/multi/hybrid/ При сборке кластера схемы внедрения могут быть скомбинированы. Пример: Отказоустойчивое хранилище с дополнительными узлами фильтрации При такой схеме внедрения копии БД хранятся на разных серверах (реплицируются), но количество реплик БД меньше, чем количество экземпляров MITIGATOR в кластере. Часть экземпляров обращается к удаленным базам по портам TCP: 8888, 2003, 3080, 5432. В данном примере graphite и LOGAN размещены на отдельных серверах. Для корректной работы системы всем обработчикам пакетов, должно быть доступно одинаковое количество системных ресурсов. https://docs.mitigator.ru/v26.04/kb/bypass/ Mon, 01 Jan 0001 00:00:00 +0000 https://docs.mitigator.ru/v26.04/kb/bypass/ MITIGATOR поддерживает аппаратный байпас сетевых адаптеров Silicom и LR-Link. Проверенные адаптеры Silicom: PE2G4BPI35LA Quad Port Copper 1G Ethernet PCIe Bypass Network Adapter (Intel i350AM4) PE2G6BPI35 Six Port Copper 1G Ethernet PCIe Bypass Network Adapter (Intel i350AM4) PE210G2BPI9 Dual Port Fiber 10G Ethernet PCIe Bypass Network Adapter (Intel 82599ES) PE310G4BPI71 Quad Port Fiber 10G Ethernet PCIe Bypass Network Adapter (Intel XL710BM1) PE340G2BPI71 Dual Port Fiber 40G Ethernet PCIe Bypass Network Adapter (Intel XL710) P4CG2BPI81 Dual Port Fiber 100G Ethernet PCIe Gen 4. https://docs.mitigator.ru/v26.04/kb/bgp-state/ Mon, 01 Jan 0001 00:00:00 +0000 https://docs.mitigator.ru/v26.04/kb/bgp-state/ Для обеспечения бесперебойного прохождения трафика через MITIGATOR обычно требуется снимать BGP-анонсирование при потере связности с граничными маршрутизаторами. По умолчанию при схеме внедрения в сеть L3-router анонсирование по BGP может происходить только при разрешении на MITIGATOR router_mac граничных маршрутизаторов внешней и внутренней сетей. В случае потери связности с любым из них анонсы снимаются. Однако, в некоторых случаях требуется продолжать BGP-анонсирование даже при падении граничных маршрутизаторов, для чего в файле docker-compose.yml следует указать: